連載
» 2015年01月20日 10時00分 公開

サーバ証明書は今が替えどき、「SHA-1」証明書は風前のともしびセキュリティ強化塾(5/5 ページ)

[キーマンズネット]
前のページへ 1|2|3|4|5       

SSLサーバ証明書の移行のために

 公開鍵の鍵長は2048ビット、ハッシュアルゴリズムはSHA-2を利用するSSLサーバ証明書への移行が望ましい理由は上述の通りだ。ではどのように証明書を置き換えていけばよいだろうか。この際、証明書運用を見直し、より自社にふさわしい証明書を利用したいものだ。2048ビット、SHA-2対応は当然として、次のような点にも注意しておきたい。

サーバの実在証明のレベル

 SSLサーバ証明書はベンダーにより、また種類によりコストが違う。主な種類の違いは、利用企業のサーバが実在するものであることをどう証明するかという点だ。サーバが間違いなくその企業のものであり、その企業も実在していることを、証明書ベンダーが検証した上で発行される証明書のほうが価値が高く、セキュリティのレベルも高いといえる。主に次のような種類がある。

EV(Extended Validation)証明書:

 ドメイン登録はもちろんサイト運営企業の実在を確認した上で、世界共通の認証基準を厳格に満たしているかどうかを審査して発行される。運営企業の実在証明が得られ、信頼性が最も高いが、高価格だ。

企業認証(OV、Organization Validation)証明書:

 レジストラにドメイン登録されているかどうかと、サイトを運営している企業の実在を確認してあり、信頼性は比較的高い。

ドメイン認証(DV、Domain Validated)証明書:

 レジストラにドメイン登録されているかどうかだけを審査し、サイトの運営企業の実在証明はない。信頼性は限定的だが低価格だ。

 予算が見合えばEV証明書がお薦めだ。これを利用すると、閲覧するWebブラウザのアドレス表示箇所に緑色で会社名などが表示され、Webサイトにアクセスした人はひと目でEV証明書を使っていることが分かる。

 「このサービスなら安全だ」と感じてもらえることがブランドイメージを上げる。認証基準において、運営企業の実在確認の要件として法人格の確認が規定されており、人手を使い厳密チェックしているため、信頼性は高い。ECサイトやオンラインバンキング、その他顧客からの信頼が大切なサービスには、ぜひこのタイプの証明書を使いたい。

 逆に、特定のパートナー企業、グループ内企業、各地の自社拠点などのように、サイトを運営する企業の実在が自明であるような場合には、機械的な確認処理で済むドメイン認証の方が安くて早く入手できる良さがある。ただし、ドメイン認証のCAは、機械的な処理であるが故に攻撃者にとっても悪用しやすいため、CAの安全性に疑問があるような証明書ベンダーには注意する必要がある。

 これらの中間が企業認証証明書になる。金銭がからまないサービスを提供している場合には、このタイプで十分な場合が多いだろう。

 なお、グループ企業間などでの利用には「自己署名SSL証明書」が使われるケースがある。これは発行ツールを利用すれば誰でも発行できる証明書で、フィッシング詐欺など不正行為に利用されることが多いため「オレオレSSL証明書」の異名も持つ。

 第三者機関であるCAの認証を通っていないので一般に信頼性が低く、公開Webサイトにはふさわしくない。またこれを利用していると、Webブラウザに「証明書が検証できない」旨の表示が出る。その画面に対して「無視して続行」する操作もできるのだが、この操作に慣れてしまったユーザーは、フィッシング攻撃サイトに対しても警告を無視してアクセスしてしまうことがあり得る。

コスト有利な証明書の購入法

 SSLサーバ証明書は原則として1台のサーバに1枚が必要になるのだが、ベンダーによってはFQDN(完全修飾ドメイン名、Fully Qualified Domain Name)単位で1枚を導入する方法がとれる。

 例えばWebサーバを多数稼働させてロードバランサーで負荷分散して利用している場合、それぞれのサーバに証明書を導入するのではなく、同じFQDNを持つひとかたまりのサーバ群に対して1枚の証明書で済む。これは大きなコスト圧縮効果がある。

 他にも1枚の証明書でサブドメインや別ドメインなど複数の別FQDNで使える「マルチドメイン証明書」など、単体価格は高くても使い勝手のよいオプションがあるので、ベンダーに確認した上で自社にふさわしいタイプを選ぶとよいだろう。

 なお、証明書のリプレースに当たって以前からの証明書の有効期間が残っていた場合、その分の有効期間延長をしてくれるサービス、また移行期間に相当する有効期間をおまけでつけてくれるサービスなどもベンダーそれぞれにあるので、まずは相談してみることをお薦めする。

前のページへ 1|2|3|4|5       

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。